Javascript 使用JQuery/Bootstrap/Ajax/ColdFusion 16登录页面？_Javascript_Jquery_Ajax_Login_Coldfusion

Javascript 使用JQuery/Bootstrap/Ajax/ColdFusion 16登录页面？

javascript jquery ajax login coldfusion

Javascript 使用JQuery/Bootstrap/Ajax/ColdFusion 16登录页面？,javascript,jquery,ajax,login,coldfusion,Javascript,Jquery,Ajax,Login,Coldfusion,我正在将一个应用程序从旧系统迁移到另一个/新系统中。我的单页应用程序前端内置JQuery/HTML5/CSS/AJAX，后端内置ColdFusion。在我开始开发我的新框架和登录页面之前，我希望能得到一些关于安全性的有用提示和用于此目的的最佳实践。我看到了Raymond Camden的博客文章，他解释了如何在JQuery/AJAX和ColdFusion中完成登录页面。链接：他解释了过程，但我想知道接下来的几件事。我的主要登录页面应该使用.html文件还是.cfm文件作为登录页面？从提交开始，

我正在将一个应用程序从旧系统迁移到另一个/新系统中。我的单页应用程序前端内置JQuery/HTML5/CSS/AJAX，后端内置ColdFusion。在我开始开发我的新框架和登录页面之前，我希望能得到一些关于安全性的有用提示和用于此目的的最佳实践。我看到了Raymond Camden的博客文章，他解释了如何在JQuery/AJAX和ColdFusion中完成登录页面。链接：

他解释了过程，但我想知道接下来的几件事。我的主要登录页面应该使用.html文件还是.cfm文件作为登录页面？从提交开始，通过Ajax进行登录过程是否存在安全风险？我没有创建登录系统的经验，任何帮助都将不胜感激。如果有人能提供一些有用的博客或代码示例，将有助于这个过程，请让我知道

我很想将此作为一个评论来写，但这个问题需要一个很长的答案，并且可以通过许多不同的方式来解决。请把这个和盐放在一起

一般来说，我发现处理任何用户输入时的最佳实践，特别是在特定数据库中捕获输入时的最佳实践如下：

客户端验证（可以使用JavaScript或HTML5 required属性完成，如果正确完成，可以提高登录表单的安全性并防止跨站点脚本攻击）
服务器端验证（可以使用ColdFusion完成）
对您决定使用的任何数据库使用准备好的语句（这非常重要）。这可以通过ColdFusions
标记完成，并确保为其中一个属性添加参数。文件如下：

至于文件，这是主观的，因为您可以在登录页面上进行客户端验证，如果通过客户端验证，它将被重定向到一个.cfm文件，该文件将执行服务器验证。或者，您可以在单个文件上同时进行客户端和服务器端验证，在这种情况下，该文件必须是.cfm

至于您关于ajax表单提交的问题。是的，它们的安全风险在编写服务器端验证时扮演着重要角色

当您对数据库执行检查时。最重要的是要确保对查询输入进行清理，无论是验证用户、添加、更新还是从数据库中删除查询输入。

为什么不使用API管理器为您执行此操作？（CF2016企业版免费提供）

否则，请查找OWASP函数并形成文档的安全部分